sécurité dans mon formulaire [Résolu]

ph_anrys · 04/03/2008, 11h53

bonjour

j'ai créé un formulaire est ce que ce formulaire est bien sécurisé du côté php

voici mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
 
<?php
$nom =htmlentities(trim($_POST['EditNom']));
$prenom =htmlentities(trim($_POST['EditPrenom']));
$societe =htmlentities(trim($_POST['EditSociete']));
$telephone =htmlentities(trim($_POST['EditTelephone']));
$email =htmlentities(trim($_POST['EditEmail']));
$message =htmlentities(trim($_POST['TextareaMessage']));
 
 
echo $nom.'<br>';
echo $prenom.'<br>';
echo $societe.'<br>';
echo $telephone.'<br>';
echo $email.'<br>';
echo $message.'<br>';
 
 $destinataire = "contact@depauw-nettoyage.com" ; 
 $sujet = "Contact" ; 
     if($nom && $prenom && $telephone && $email)
{
 $message = "Contact \n \n
 
			 Nom : $nom \n
			 Prénom : $prenom \n
			 Société : $societe \n
			 Téléphone : $telephone \n
			 Email : $email \n 
			 Message : $message ";
 $entetes = "From: contact@depauw-nettoyage.com " ; 
 mail($destinataire, $sujet, $message, $entetes);
   }
 else
 {
die('Vous n\'avez pas rempli tous les champs obligatoires du formulaire ');
 
 
}
 ?>

A savoir que j'ai une verrification des champs en ajax sur le formulaire

Autre question : dans mon message qui est envoyé dans l'email les mots comme prénom par exemple le é est indiqué avec des lettres et chiffres bizares

comment cela se fait il

merci pour votre aide

Bourgui · 04/03/2008, 13h49

Une vérification en ajax ne sert a rien si tu ne la refait pas a la récéption du message :

On peut très bien "forger" (sans passer par un navigateur) une requète http qui va appeler ta page en donnant les bons post.Il faut toujour penser que tu n'as aucune confiance dans ce qui vien de chez le client (meme pas son ip).

Ensuite je comprend pa spourkoi tu met des "<br/>" apres tes informations.

De plus a aucun moment tu ne vérifie la dernière date d'envoi de message, ni meme la taille des donnée par le client, un concurrent pourra très bien spammer par ton formulaire avec une ip bidon , pour te remplir ta boite mail.

Pour finir (mais c'est pas de la sécu) le "die" pour gérer une erreur c'est pas beau : un die gère les exception, pas les erreurs (exception : pas normalement possible dans le programme, erreur : possible dans le programme mais pas accepté).

ph_anrys · 04/03/2008, 14h04

merci bourqui mais pour tout ce que tu me dis n'aurais tu pas un lien ou cela est expliqué pour faire ce que tu dis

merci

Bourgui · 05/03/2008, 12h58

Ben non, mais dis moi ce que tu comprend pas ou mal et je t'éclairerai, comme ça tu apprendra plus.

04/03/2008, 13h49	#2
Bourgui Membre expérimenté Rémi BOURGAREL Développeur .NET Inscription : juin 2006 Messages : 426 Détails du profil Informations personnelles : Nom : Rémi BOURGAREL Âge : 25 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Développeur .NET Secteur : Tourisme - Loisirs Informations forums : Inscription : juin 2006 Messages : 426 Points : 584 Points : 584	Une vérification en ajax ne sert a rien si tu ne la refait pas a la récéption du message : On peut très bien "forger" (sans passer par un navigateur) une requète http qui va appeler ta page en donnant les bons post.Il faut toujour penser que tu n'as aucune confiance dans ce qui vien de chez le client (meme pas son ip). Ensuite je comprend pa spourkoi tu met des "<br/>" apres tes informations. De plus a aucun moment tu ne vérifie la dernière date d'envoi de message, ni meme la taille des donnée par le client, un concurrent pourra très bien spammer par ton formulaire avec une ip bidon , pour te remplir ta boite mail. Pour finir (mais c'est pas de la sécu) le "die" pour gérer une erreur c'est pas beau : un die gère les exception, pas les erreurs (exception : pas normalement possible dans le programme, erreur : possible dans le programme mais pas accepté).
	00

04/03/2008, 14h04	#3
ph_anrys Membre régulier Inscription : février 2003 Messages : 272 Détails du profil Informations forums : Inscription : février 2003 Messages : 272 Points : 85 Points : 85	merci bourqui mais pour tout ce que tu me dis n'aurais tu pas un lien ou cela est expliqué pour faire ce que tu dis merci
	00

05/03/2008, 12h58	#4
Bourgui Membre expérimenté Rémi BOURGAREL Développeur .NET Inscription : juin 2006 Messages : 426 Détails du profil Informations personnelles : Nom : Rémi BOURGAREL Âge : 25 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Développeur .NET Secteur : Tourisme - Loisirs Informations forums : Inscription : juin 2006 Messages : 426 Points : 584 Points : 584	Ben non, mais dis moi ce que tu comprend pas ou mal et je t'éclairerai, comme ça tu apprendra plus.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email